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@) Verfahren zum rechnergestutzten Austausch kryptographischer Schlussei zwischen einer 
Benutzercomputereinheit U und einer Netzcomputereinheit N 

(§) Die Erfindung betrifft ein Verfahren zum Austausch kryp- 
tographischer Schlussei, bei dem die Lange der ubertrage- 
nen Nachrichten wesenttich reduziert und die Sicherheitsei- 
genschaften des Verfahrens gegenuber bekannten Verfah- 
ren erheblich erweitert werden. 

In einer Netzcomputereinheit und in einer Benutzercompute- 
reinheit werden ein erster Zwischenschlussel und ein zweiter 
Zwischenschlussel abhangig von generierten Zufallszahlen 
gebildet. 

Ein Sitzungsschlussei wtrd durch eine bitweise Exklusiv- 
Oder-Verknupfung des ersten Zwischenschlussels und des 
zweiten Zwischenschlussels berechnet. Die Schlussei wer- 
den niemals in tOartext ubertragen. Durch Verwendung einer 
Funktion, die z. B. eine symmetrische Verschlusselungsfunk- 

■ tion, eine Hash-Funktion oder eine Einwegfunktion sein 

^ kann, authentifizieren sich die Netzcomputereinheit und die 
Benutzercomputereinheit gegenseitig. 
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Beschreibung 



Informationstechnische Systeme unterliegen ver- 
schiedenen Bedrohungen. So kann z. B. ilbertragene In- 
formation von einem unbefugten Dritten abgehort und 
verandert werden. Eine weitere Bedrohung bei der 
Kommunikation zweier Kommunikationspartner liegt 
in der Vorspiegelung einer falschen Identitat eines 
Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch ver- 
schiedene Sicherheitsmechanismen, die das informa- 
tionstechnische System vor den Bedrohungen schQtzen 
soUen, begegnet Ein zur Sicherung verwendet er Si- 
cherheitsmechanismus ist die Verschliisselung der uber- 
tragenen Daten. Damit die Daten in einer Kommunika- 
tionsbeziehung zwischen zwei Konmiunikationspart- 
nern verschlusselt werden kdnnen, mOssen vor der 
Obertragung der eigentlichen Daten erst Schritte 
durchgefQhrt werden, die die Verschlusselung vorberei- 
ten. Die Schritte kdnnen z. B. darin bestehen. daB sich 
die beiden Konununikationspartner auf einen Ver- 
schlusselungsalgorithmus einigen und ggf. die gemeinsa- 
men geheimen Schlussel vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmecha- 
nismus Verschltisselung bei Mobilfunksystemen, da die 
Qbertragenen Daten in diesen Systemen von jedem 
Dritten ohne besonderen zusatzlichen Aufwand abge- 
hort werden konnen. 

Dies fuhrt zu der Anforderung, eine Auswahl bekann- 
ter Sicherheitsmechanismen so zu treffen und diese Si- 
cherheitsmechanismen geeignet zu kombinieren, sowie 
Kommunikationsprotokolle zu spezifizieren, daB durch 
sie die Sicherheit von informationstechnischen Syste- 
men gewahrleistet wird 

Es sind verschiedene asymmetrische Verfahren zum 
rechnergestutzen Austausch kryptographischer Schlus- 
sel bekannt. Asymmetrische Verfahren. die geeignet 
sind fur Mobiifunksysteme, sind (A. Aziz, W. Diffie. "Pri- 
vacy and Authentication for Wireless Local Area Net- 
works", IEEE Personal Communications, 1994. S. 25 bis 
31) und (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions. P&A JEM 1993. 1993, S. 1 bis 1 1). 

Das in (A. Aziz, W. Diffie: "Privacy and Authentica- 
tion Wireless Local Area Networks", IEEE Personal 
Communications, 1994. S. 25 bis 31) beschriebene Ver- 
fahren bezieht sich ausdrucklich auf lokale Netzwerke 
und stellt hohere Rechenleistungsanforderimgen an die 
Computereinheiten der Kommunikationspartner wah- 
rend des Schlusselaustauschs. AuBerdem wird in dem 
Verfahren mehr Obertragungskapazitat benotigt als in 
dem erfindungsgemaBen Verfahren, da die Lange der 
Nachrichten groBer ist als bei dem erfindungsgemaBen 
Verfahren. 

Das in (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS". Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, Pages 1 bis 11) hat einige 
grundlegende Sicherheitsmechanismen nicht integriert 
Die explizite Authentifikation des Netzes durch den Be- 
nutzer wird nicht erreicht AuBerdem wird ein vom Be- 
nutzer an das Netz ubertragener SchlUssel vom Netz 
nicht an den Benutzer bestatigt Auch eine Zusicherung 
der Frische (Aktualitat) des SchlQssels fOr das Netz ist 
nicht vorgesehen. Ein weiterer Nachteil dieses Verfah- 
rens besteht in der Beschrankung auf das Rabin- Verfah- 
ren bei der impliziten Authentifizierung des SchlQssels 



durch den Benutzer. Dies schrankt das Verfahren in 
einer flexibleren Anwendbarkeit ein. AuBerdem ist kein 
Sicherheitsmechanismus vorgesehen, der die Nichtab- 
streitbarkeit von Qbertragenen Daten gewahrleistet, 
5 Dies ist ein erheblicher Nachteil vor allem auch bei der 
Erstellung unanfechtbarer GebOhrenabrechnungen fQr 
ein Mobilfunksystem. Auch die Beschrankung des Ver- 
fahrens auf den National Institute of Standards in Tech- 
nology Signature Standard (NIST DSS) als verwendete 
10 Signaturfunktion schrankt das Verfahren in seiner allge- 
meinen Verwendbarkeit ein. 

Das Problem der Erfmdung liegt darin, ein Verfahren 
zum rechnergestQuten Austausch kryptographischer 
SchlQssel anzugeben, das die oben genannten Nachteile 
vermeideL 

Dieses Problem wird durch das Verfahren gemaB Pa- 
tentanspruch 1 gelost 

Die durch das erfindungsgemaBe Verfahren erreich- 
ten Vorteile liegen vor allem in dem Bereich einer hdhe- 
ren Sicherheit des erfindungsgemaBen Verfahrens im 
Vergleich zu bekannten Verfahren und in einer erhebli- 
chen Reduktion der Lange der Qbertragenen Nachrich- 
ten. Durch das erfindungsgemaBe Verfahren werden 
folgende Sicherheitsmechanismen realisiert: 
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— Gegenseitige explizite Authentifizierung von 
dem Benutzer und dem Netz, d. h. die gegenseitige 
Verifizierung der behaupteten Identitat, 

— Schlusselvereinbarung zwischen dem Benutzer 
30 und dem Netz mit gegenseitiger impliziter Authen- 
tifizierung. d. h. daB durch das Verfahren erreicht 
wird, daB nach AbschluB der Prozedur ein gemein- 
samer geheimer SitzungsschlQssel zur Verfugung 
steht, von dem jede Partei weiB, daB nur das au- 

35 thentische GegenQber sich ebenfalls im Besitz des 
geheimen Siuungsschlussels befinden kann. 

— Zusicherung der Frische (Aktualitat) des Sit- 
zungsschlussels fur den Benutzer und das Netz, 

— gegenseitige Bestatigung des Sitzungsschlussels 
40 von dem Benutzer und dem Netz, d. h. die Bestati- 

gung, daB das GegenQber tatsachlich im Besitz des 
vereinbarten geheimen SitzungsschlQssels ist, 

— Benutzeranonymitat, d.h. Vertraulichkeit der 
Identitat des Benutzers gegenQber Dritten, 

45 _ Nichtabstreitbarkeit von Daten, die vom Benut- 
zer an das Netz gesendet wurden, durch den Benut- 
zer. 

— Senden eines Zertifikats fQr den dffentiichen 
SchlQssel des Netzes vom Netz an den Benutzer, 

50 — Senden eines Zertifikats fQr den dffentiichen 
SchlQssel des Benutzers von der Zertifizierungsin- 
stanz an das Netz. 

AuBerdem liegt ein erheblicher Vorteil des erfin- 
55 dungsgemaBen Verfahrens darin, daB ein im Vergleich 
zu einem symmetrischen Verschlusselungsalgorithmus 
die sehr rechenintensive modulare Exponentiation nur 
zwei Mai auf jeder Seite durchgefQhrt werden muB, was 
eine wesentlich hdhere Protokollabarbeitungsge- 
60 schwindigkeit ermoglicht 

Die Weiterbildung des erfindungsgemaBen Verfah- 
rens gemaB Patentanspruch 3 realisiert zusatzlich einen 
weiteren Sicherheitsmechanismus, den Austausch von 
Zertifikaten fur offentliche Schlussel zwischen dem Be- 
es nutzer und dem Netz. 

Das erfindungsgemaBe Verfahren ist auBerdem sehr 
leicht an unterschiedliche Anforderungen anpaBbar, da 
es sich nicht auf bestimmte Verschlusselungsalgorith- 



DE 195 14 084 Ct 



4 



men beschrtokL 

Weiterbildungen der ErHndung ergeben sich aus den 
abh^gigen AnsprOchen. 

Die Zeichnungen stelien bevorzugte Ausf ahrungsbei- 
spiele der Erfindung dar, die im folgenden nSher be- 
schrieben werden. 

Es zeigen 

Fig. la, b ein Ablaufdiagramm, das das erfindungsge- 
m^eVerfahrengemiB Patentanspruch 1 dai*stellt; 

Hg. 2a, b eine Skizze, die das erfindungsgemaBe Ver- 
fahren gemiS Patentanspruch 3 darstellt 

Anhand der Hg. la, b und 2a, b wird die ErHndung 
weiter erltutert 

In den Fag. la, b ist durch eine Skizze der Ablauf des 
erfindungsgemJlBen Verfahrens gem^B Patentanspruch 
1 dargestellt Bei diesem Verfahren wird vorausgesetzt, 
daB in einer Benutzercomputereinheit U ein vertrauens- 
wfirdiger 5ff entlicher Netzschltissel g* verfOgbar ist Au- 
Berdem wird vorausgesetzt, daB in einer Netzcompute- 
reinheit N ein vertrauenswQrdiger 6ffentlicher Benut- 
zerschlQssel g" verfOgbar ist 

Das in den IFIg. la, b beschriebene erfindungsgemaBe 
Verfahren beginnt mit einer Generierung einer ersten 
Zufallszahl t in der Netzoomputereinheit N. Aus der 
ersten Zufallszahl t wird von einem erzeugenden Ele- 
ment g einer endlichen Gruppe in der Netzcompute- 
reinheit N ein erster Wert g^ gebildet 

Asymmetrische Verfahren beruhen im wesentlicfaen 
auf zwei Problemen der Komplexitatstheorie, dem Pro- 
blem zusammengesetzte Zahlen effizient zu faktorisie- 
ren, und dem diskreten Logarithmusproblem (DLP). 
Das DLP besteht darin, daB in geeigneten Rechenstruk- 
turen zwar Exponentiationen effizient durchgeffihrt 
werden k6nnen, daB jedoch fiir die Umkehrung dieser 
Operation, das Logarithmieren, keine effizienten Algo- 
rithmen bekannt sind. Solche Rechenstrukturen sind un- 
ter den oben bezeichneten endlichen Gruppen zu ver- 
stehen. Diese sind z. B. die multiplikative Gruppe eines 
endlichen Kdrpers (z. B, Multiplizieren modulo p, wobei 
p eine groBe Primzahl ist), oder auch sogenannte "ellipti- 
sche Kurven". Elliptische Kurven sind vor allem deshalb 
interessant, well sie bei gleichem Sicherheitsniveau we- 
sentlich kflrzere Sicherheitsparameter erlauben. Dies 
betrifft die L&nge der dffentUchen SchlQssel, die Lange 
der Zertifikate. die L^nge der bei der Sitzungsschlussel- 
vereinbarung auszutauschenden Nachrichten sowie die 
Lange von digitalen Signaturen, die jeweils im weiteren 
beschrieben werden. Der Gnmd dafiir ist, daB die fOr 
elliptische Kurven bekannten Logarithmierverfahren 
wesentlich weniger efHzient sind als die fur endliche 
Kdrper. Eine groBe Primzahl in diesem Zusammenhang 
bedeutet, daB die GrdBe der Primzahl so gewahlt wer- 
den muB, daB die Logarithmierung so aufwendig ist, daB 
sie nicht in vertretbarer Zeit durchgefiihrt werden kann. 
Vertretbar bedeutet in diesem Zusanunenhang einen 
Zeitraum entsprechend der Sicherheitspolitik fur das 
informationstechnische System von mehreren Jahren 
bis Jahrzehnten und ISnger. 

Nach der Berechnung des ersten Wertes g^ wird eine 
erste Nachricht Ml gebildet, die mindestens den ersten 
Wert g^ aufweist Die erste Nachricht Ml wird in der 
Netzcomputereinheit N codiert und an die Benutzer- 
computereinheit U Obertragen, In der Benutzercompu- 
tereinheit U wird die erste Nachricht Ml decodiert 

AuBerdem wird in der Benutzercomputereinheit U 
eine zweite Zufallszahl r gebildet. Aus der zweiten Zu- 
fallszahl r wird ein zweiter Wert g^ von dem erzeugen- 
den Element g entsprechend der gewUhlten im vorigen 
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beschriebenen Rechenstruktur berechnet 

Ein dffentlicher NetzschlQssel, der in der Benutzer- 
computereinheit verfOgbar ist, wird potenziert mit der 
zweiten Zufallszahl r und bildet somit einen ersten Zwi- 
schenschlOssel Kl. 

Mit dem ersten Zwischenschlilssel Kl wird unter Ver- 
wendung eines VerschlOsselungsalgorithmus Enc eine 
IdentitStsangabe IMUI der Benutzercomputereinheit U 
verschlflsselt Die verschlQsselte Identitatsangabe IMUI 
bildet einen ersten verschlQsselten Term VTl. 

AuBerdem wird in der Benutzercomputereinheit U 
ein zweiter ZwischenschlQssel K2 berechnet, indem der 
erste Wert g* mit einem geheimen BenutzerschlQssel u 
potenziert wird. 

Ein SitzungsschlOssel K wird berechnet durch die bit- 
weise Anwendung der Funktion Exklusiv-Oder auf den 
ersten ZwischenschlOssel Kl und den zweiten Zwi- 
schenschlussel K2. Eine erste Antwort A wird gebildet 
durch Verschlflsselung einer Benutzerkonstanten con- 
stu, die sowohl der Benutzercomputereinheit U als auch 
der Netzcomputereinheit N bekannt ist, mit dem Sit- 
zungsschlussel K unter Verwendung einer Funktion f. 

Die Funktion f kann z.B. eine symmetrische Ver- 
schlusselungsfunktion sein oder eine Hash-Funktion 
Oder eine Einwegfunktion. Unter einer Einwegfunktion 
ist in diesem Zusammenhang eine Funktion zu verste- 
hen, bei der es nicht moglich ist, zu einem gegebenen 
Funktionswert einen passenden Eingangswert zu be- 
rechnen. Unter einer Hash-Fimktion ist eine kompri- 
mierende Einwegfunktion zu verstehen, wobei bei einer 
Hash-Funktion eine beliebig lange Eingangszeichenfol- 
ge auf eine Ausgangszeichenfolge fester Lange abgebil- 
det wird Des weiteren wird fur die Einwegfunktion bzw. 
Hash-Funktion in diesem Zusammenhang Kollisions- 
freiheit gefordert, d. h. es darf nicht mdgiich sein, zwei 
verschiedene Eingangszeichenfolgen zu Hnden, die die- 
selbe Ausgangszeichenfolge ergeben. Bekannte Hash- 
Funktionen sind z. B. der MD2-Algorithmus oder der 
MD5-Algorithmus. 

In der Benutzercomputereinheit U wird anschlieBend 
eine zweite Nachricht M2 gebildet, wobei die zweite 
Nachricht M2 mindestens den zweiten Wert g^, den er- 
sten verschlQsselten Term VTl und die erste Antwort A 
enthalt Die zweite Nachricht M2 wird in der Benutzer- 
computereinheit U codiert und an die Netzcompute- 
reinheit N ubertragen. 

Durch den in der zweiten Nachricht M2 Qbertragenen 
zweiten Wert g^ ist es der Netzcomputereinheit N m6g- 
lich, den ersten ZwischenschlOssel Kl selbst zu bilden, 
ohne daB der erste Zwischenschlflssel Kl flbertragen 
werden muB. Dies wird erreicht, da nur die Benutzer- 
computereinheit U und die Netzcomputereinheit N im 
Besitz des ersten Zwischenschlussels Kl sind. 

Die erste -Antwort A dient zur Verifizierung des Sit- 
zungsschlussels, den die Netzcomputereinheit N wie im 
weiteren beschrieben auch bilden kann, ohne daB der 
Sitzungsschiassel K ubertragen werden muBte. 

Nach Empfang der zweiten Nachricht M2 wird die 
zweite Nachricht M2 in der Netzcomputereinheit N de- 
codiert AnschlieBend wird der erste ZwischenschlOssel 
Kl in der Netzcomputereinheit N berechnet, indem der 
zweite Wert g' potenziert wird mit einem geheimen 
NetzschlOssel s. Damit ist es der Netzcomputereinheit 
N moglich, den Obertragenen ersten verschlOsselten 
Term VTl zu entschlusseln mit dem in vorigen berech- 
neten ersten ZwischenschlOssel Kl. 

Die EntschiOsselung des ersten verschlOsselten Terms 
VTl wird durchgefOhrt und damit wird die Benutzer- 
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computereinheit U authentifiziert als Sender der zwei- 
ten Nachricht M2. Aus der Potenzierung eines offentli- 
chen Benutzerschlttssels g^ der in vertrauenswurdiger 
Weise in der Netzcomputereinheit N verfugbar ist, nut 
der ersten Zuf aUszahl t wird der zweite ZwischenschlQs- 
sel K2 in der Netzcomputereinheit N gebildet 

Der SitzungsschlOssel K wird in der Netzcompute- 
reinheit N ebenso, wie in der Benutzercomputereinheit 
U durch bitweise Exklusiv-Oder-Verknupfung des er- 
sten Zwischenschlussels Kl mit dem zweiten Zwischen- 
schlQssel K2 berechnet 

Mit Hilfe des SitzungsschlQssels K wird unter Ver- 
wendung der Funktion f die erste Antwort A uberpruft 
Die OberprOfung kann, je nachdem welcher Art die 
Funktion f ist, auf unterschiedliche Weise geschehen. 

Die explizite Authentifikation der Benutzercompute- 
reinheit (U) wird durch die erste Antwort (A) erreicht, 
da, auBer der Netzcomputereinheit (N) nur die Benut- 
zercomputereinheit (U) den Sitzungsschliissel (K) kennt 

Wenn die Funktion f durch eine symmetrische Ver- 20 
schlQsselungsfunktion realisiert wird, ist es moglich, die 
Oberprufung der ersten Antwort A auf zwei Arten 
durchzufQhren: 

Die der Netzcomputereinheit N bekannte Benutzer- 
konstante constu kann mit dem Sitzungsschlussel K un- 25 
ter Verwendung der Funktion f in der Netzcompute- 
reinheit N verschlusselt werden und das Ergebnis kann 
mit der ersten Antwort A direkt verglichen werden. Bei 
Obereinstimmung des Ergebnisses mit der ersten Ant- 
wort A ist die Korrektheit des Schlussels K gewahrlei- 30 
stet 

Es ist jedoch auch mdglich, die erste Antwort A mit 
dem in der Netzcomputereinheit N berechneten Sit- 
zungsschlussel K zu entschlusseln, und eine dadurch er- 
haltene entschlQsselte Benutzerkonstante constu' mit 35 
der bekannten Benutzerkonstante constu zu verglei- 
chen. Bei Obereinstimmung der Benutzerkonstante 
constu mit der entschlusselten Benutzerkonstante con- 
stu' ist ebenso die Korrektheit des Sitzungsschlussels K 
garantiert. 40 

Wird die Funktion f durch eine Hash-Funktion reali- 
siert, so ist die Entschliisseiung der ersten Antwort A 
naturgemaD nicht moglich. Somit ist es in diesem Fall 
nur moglich, die Oberprufung so zu gestalten, daB die 
Benutzerkonstante constu und der Sitzungsschlussel K 45 
unter Anwendung der Funktion f ein Ergebnis liefert, 
das mit der ersten Antwort A verglichen wird. 

AnschlieBend wird in der Netzcomputereinheit N ei- 
ne Netzkonstante constn mit dem uberpraften Sitzungs- 
schlussel K unter Verwendung der Funkuon f verschlus- 50 
selt und bildet eine zweite Antwort B. 

In der Netzcomputereinheit N wird eine dritte Nach- 
richt M3 gebildet, die mindestens die zweite Antwort B 
enthalt Die dritte Nachricht M3 wird in der Netzcom- 
putereinheit N codiert und an die Benutzercompute- 55 
reinheit U ubertragen. 

In der Benutzercomputereinheit U wird die dritte 
Nachricht M3 decodiert und im AnschluB daran die 
zweite Antwort in entsprechender Weise tiberpruft, wie 
dies im vorigen fQr die erste Antwort A in der Netzcom- eo 
putereinheit N beschrieben wurde. 

Fur den Fall, daB in der Benutzercomputereinheit U 
der offentliche Netzschiassel g* und in der Netzcompu- 
tereinheit N der 6ffentliche Benutzerschlussel g" nicht 
bekannt sind bzw. nicht in vertrauenswurdiger Weise es 
vorliegen, wird eine Weiterbildung des erfmdungsgema- 
Ben Verfahrens gemaB Patentanspruch 3 verwendet. 
Diese Weiterbildung der Erfindung ist in den Fig. 2a, b 
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dargestellt 

Wenn zum Austausch des offentlichen Netzschlussels 
g* und des affentlichen Benutzerschiassels g" die Ver- 
wendung eines Benutzerzertifikats CertU imd eines 

5 Netzzertifikats CertN vorgesehen sind, so kann es vor- 
teilhaf t sein, wenn bei Vorhandensein mehrerer vertrau- 
enswiirdiger Zertifizierungsinstanzen die Benutzercom- 
putereinheit U der Netzcomputereinheit N mitteilt, von 
welcher Zertifizierungsinstanz die Benutzercompute- 

0 reinheit U ein Netzzertifikat CertN verifizieren kann. 
Dies kann z. B. dadurch geschehen, daB zu Beginn des 
erfmdungsgemaBen Verfahrens eine Zertifizierungs- 
nachricht von der Benutzercomputereinheit U an die 
Neucomputereinheit N Qbertragen wird. Die Zertifizie- 
5 nmgsnachricht weist in diesem Zusammenhang minde- 
stens eine Identitatsangabe einer Zertifizierungscompu- 
tereinheit auf, von der die Netzcomputereinheit N ein 
Netzzertifikat CertN erhalten kann, das von der Benut- 
zercomputereinheit U verifiziert werden kann. 

Nachdem die Netzcomputereinheit N das Netzzerti- 
fikat CertN von der Zertifizierungscomputereinheit CA 
beschafft hat, wird das Netzzertifikat CertN an die Be- 
nutzercomputereinheit U Qbertragen. 

Dies geschieht dadurch, daB der ersten Nachricht Ml 
zusatzlich das Netzzertifikat CertN beigefugt wird. In 
der Benutzercomputereinheit U wird nach der Decodie- 
rung der ersten Nachricht Ml in diesem Fall das Netz- 
zertifikat CertN verifiziert und somit hat die Benutzer- 
computereinheit U einen vertrauenswiirdigen offentli- 
chen Netzschiassel g* erhalten. 

In der Benutzercomputereinheit U wiederum wird ein 
Benutzerzertifikat CertU ermittelt. und anstelle der 
Identitatsangabe IMUI der Benutzercomputereinheit U 
mit dem ersten Zwischenschlussel Kl unter Verwen- 
dung der Verschltisselungsfunktion Enc zu dem ersten 
verschlusselten Term VTl verschlOsselL Somit wird die 
Obertragung des Benutzerzertifikats CertU ermoglicht, 
ohne daB die Identitat der Benutzercomputereinheit U 
an einen unbefugten Dritten bei der Obertragung der 
zweiten Nachricht M2 offenbart wird. Nach Entschlus- 
selung des ersten Terms VTl in der Netzcomputerein- 
heit N wird das dadurch erhaltene Benutzerzertifikat 
CertU von der Netzcomputereinheit N verifiziert Auf 
diese Weise ist ein vertrauenswurdiger Austausch von 
Netzzertifikat CertN und dem Benutzerzertifikat CertU 
erreicht 

Patentanspruche 

1. Verfahren zum rechnergestiitzten Austausch 
kryptographischer Schliissel zwischen einer Benut- 
zercomputereinheit (U) und einer Netzcompute- 
reinheit (N), 

— bei dem in der Netzcomputereinheit (N) 
eine erste Zuf allszahl (t) generiert wird, 

— bei dem in der Netzcomputereinheit (N) aus 
der ersten Zuf allszahl (t) mit Hilfe eines erzeu- 
genden Elements (g) einer endlichen Gruppe 
ein erster Wert (g*) berechnet wird, 

— bei dem in der Netzcomputereinheit (N) 
eine erste Nachricht (Ml) gebildet wird, die 
mindestens den ersten Wert (g*) aufweist, 

— bei dem die erste Nachricht (Ml) von der 
Netzcomputereinheit (N) an die Benutzercom- 
putereinheit (U) iibertragen wird, 

— bei dem in der Benutzercomputereinheit 
(U) eine zweite Zuf aUszahl (r) generiert wird, 

— bei dem in der Benutzercomputereinheit 
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(U) aus der zweiten Zufallszahl (r) ein zweiter 
Wert (gO mit Hilfe des erzeugenden Elements 
(g) einer endlichen Gruppe gebildet wird, 

— bei dem in der Benutzercomputereinheit 
(U) ein erster ZwischenschlQssel (Kl) berech- 5 
net wird in der Weise, daB ein Sffentlicher 
Netzsciiiiissel (g*) potenziert wird mit der 
zweiten Zufallszahl (r), 

— bei dem in der Benutzercomputereinheit 
(U) ein erster verschlusselter Term (VTl) be- lo 
rechnet wird durch VerschlOsseiung einer 
Identititsangabe (IMUI) der Benutzercompu- 
tereinheit (U) mit dem ersten ZwischenschlQs- 
sel (Kl) unter Verwendung einer Verschlussel- 
ungsfunktion (Enc), is 

— bei dem in der Benutzercomputereinheit 
(U) ein zweiter ZwischenschlQssel (K2) be- 
rechnet wird in der Weise, daB der erste Wert 
(g^) potenziert wird mit einem geheimen Be- 
nutzerschlQssel (u), 20 

— bei dem in der Benutzercomputereinheit 
(U) ein SitzungsschlQssel (K) berechnet wird 
durch bitweise Exklusiv-Oder-Verknupfung 
des ersten ZwischenschlQssels (Kl) mit dem 
zweiten ZwischenschlQssel (K2X 25 

— bei dem in der Benutzercomputereinheit 
(U) eine erste Antwort (A) gebildet wird durch 
Anwendung einer Funktion (f) auf eine Benut- 
zerkonstante (constu) und den SitzungsschlQs- 
sel (K) gebildet wird, 30 

— bei dem in der Benutzercomputereinheit 
(U) eine zweite Nachricht (M2) gebildet wird, 
die mindestens den zweiten Wert (g^, den er- 
sten verschlusselten Term (VTl) und die erste 
Antwort (A) auf weist, 35 

— bei dem die zweite Nachricht (M2) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) ubertragen wird, 

— bei dem in der Netzcomputereinheit (N) der 
erste ZwischenschlQssel (Kl) berechnet wird 40 
in der Weise, daB der zweite Wert (gO poten- 
ziert wird mit einem geheimem Netzschiussel 
(sX 

— bei dem in der Netzcomputereinheit (N) der 
erste verschlQsselte Term (VTl) entsciilQsselt 45 
wird, 

— bei dem in der Netzcomputereinheit (N) die 
Identitatsangabe (IMUI) der Benutzercompu- 
tereinheit (l^ QberprQft wird, 

— bei dem in der Netzcomputereinheit (N) der 50 
zweite ZwischenschlQssel (K2) berechnet wird, 
indem ein dffentlicher BenutzerschlQssel (g") 
potenziert wird mit der ersten Zufallszahl (t), 

— bei dem in der Netzcomputereinheit (N) der 
SitzungsschlQssel (K) berechnet wird durch 55 
bitweise Exklusiv-Oder-VerknQpfung des er- 
sten ZwischenschlQssels (Kl) mit dem zweiten 
ZwischenschlQssel (K2), 

— bei dem in der Netzcomputereinheit (N) die 
erste Antwort (A) QberprQft wird, eo 

— bei dem in der Netzcomputereinheit (N) 
eine zweite Antwort (B) berechnet wird durch 
Anwendung der Funktion (f) auf eine Netz- 
konstante (constn) und den SitzungsschlQssel 
(K) gebildet wird, 55 

— bei dem eine dritte Nachricht (M3) von der 
Netzcomputereinheit (N) zu der Benutzer- 
computereinheit (U) Qbertragen wird, wobei 



084 CI 

8 

die dritte Nachricht (M3) mindestens die zwei- 
te Antwort (B) enthait, und 

— bei dem in der Benutzercomputereinheit 
(U) die zweite Antwort (B) QberprQft wird 

2. Verfahren nach Anspnich 1, bei dem zu Beginn 
des Verfahrens eine Zertifizierungsnachricht von 
der Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) Qbertragen wird, wobei die Zertifi- 
zierungsnachricht mindestens eine IdentitEtsanga- 
be einer Zertifizierungscomputereinheit enth&lt, 
die ein Netzzertifikat (CertN) liefert, das von der 
Benutzercomputereinheit (U) verifiziert werden 
kann. 

3. Verfahren nach Anspruch 1 oder 2, 

— bei dem die erste Nachricht (Ml) zusatzlich 
ein Netzzertifikat (CertN) des offentlichen 
NetzschlQssels (g*) der Netzcomputereinheit 
(N) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) das Netzzertifikat (CertN) verifiziert wird, 

— bei dem in der Benutzercomputereinheit 
(U) der erste verschlQsselte Term (VTl) gebil- 
det wird durch VerschlQsselung eines Benut- 
zerzertifikats (CertU) eines dffentlichen Be- 
nutzerschlussels (g") der Benutzercompute- 
reinheit (U) mit dem ersten ZwischenschlQssel 
(Kl) unter Verwendung einer VerschlQssel- 
ungsfunktion (Enc), und 

— bei dem in der Netzcomputereinheit (N) das 
Benutzerzertifikat (CertU) verifiziert wird. 

4. Verfahren nach einem der AnsprQche 1 bis 3, 

— bei dem die Funktion (f) einen symme- 
trischen VerschlQsselungsaigorithmus, einen 
Hash-Algorithmus oder eine Einwegfunktion 
darstellt, 

— bei dem die OberprQfung der ersten Ant- 
wort (A) in der Netzcomputereinheit (N) darin 
besteht, daB die Funktion (0 auf die Benutzer- 
konstante (constu) und den in der Netzcompu- 
tereinheit (N) berechneten SitzungsschlQssel 
(K) angewendet wird und das Ergebnis mit der 
ersten Antwort (A) auf Obereinstimmung ge- 
prQft wird, und 

— bei dem die OberprQfung der zweiten Ant- 
wort (B) in der Benutzercomputereinheit (U) 
darin besteht, daB die Funktion (f) auf die 
Netzkonstante (constn) imd den in der Benut- 
zercomputereinheit (U) berechneten Sit2aings- 
schlQssel (K) angewendet wird und das Ergeb- 
nis mit der zweiten Antwort (B) auf Oberein- 
stimmimg geprQf t wird 

5. Verfahren nach einem der AnsprQche 1 bis 3, 

— bei dem die Funktion (f) einen symme- 
trischen VerschlQsselungsaigorithmus dar- 
stellt, 

— bei dem die OberprQfung der ersten Ant- 
wort (A) in der Netzcomputereinheit (N) darin 
besteht, daB die erste Antwort (A) in der Netz- 
computereinheit (N) mit dem in der Netzcom- 
putereinheit (N) berechneten SitzungsschlQs- 
sel (K) entschlQsselt wird und eine entschlus- 
selte Benutzerkonstante (constu) mit der Be- 
nutzerkonstante (constu) verglichen wird, und 

— bei dem die OberprQfung der zweiten Ant- 
wort (B) in der Benutzercomputereinheit (U) 
darin besteht, daB die zweite Antwort (B) in 
der Benutzercomputereinheit (U) mit dem in 
der Benutzercomputereinheit (U) berechneten 
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SitzungsschlQssel (K) entschlQsselt wird und ei- 
ne entschlQsselte Netzkonstante (constn') mit 
der Netzkonstante (constn) verglichen wird. 
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Berechnen eines ersten verschlilsselten Terms 
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K2=(gt)U 
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Berechnen eines Sitzungsschliisseb 
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Berechnen einer ersten Antwort 
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Figur la 
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